Brief regering : Update migratie .nl domeinregistratiesysteem naar AWS

Nr. 1199
BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 21 juni 2024

In de beantwoording van de Kamervragen over de «verhuizing van het .nl-domein» van
22 maart 20241 heb ik aangekondigd dat ik uw Kamer voor de zomer zou informeren over de voortgang
van de stappen die we zetten inzake de voorgenomen migratie van SIDN naar de publieke
cloud van Amazon Web Services (AWS). In deze brief bied ik u, mede namens de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties, een overzicht aan van de stand van
zaken inclusief lopende acties.

Verschillende acties en onderzoeken zijn momenteel in uitvoering. Conclusies over
het voorgenomen besluit van SIDN om het domeinregistratiesysteem in de cloud van AWS
te willen migreren volgen daarom later. De Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties en ik vinden het van belang dat we solide en volledig uitgewerkte
conclusies kunnen presenteren voor deze complexe materie. We hebben daarbij besloten
dat de kwaliteit van de onderzoeken en daarmee de uiteindelijke oordeelsvorming boven
de snelheid van het proces dient te gaan.

Gesprek met belangenbehartigers cloud

Op 27 maart jl. ben ik samen met de Staatssecretaris Binnenlandse Zaken en Koninkrijksrelaties
in gesprek gegaan met experts en belanghebbenden over de wijze waarop de Digitale
Open Strategische Autonomie (DOSA) het beste kan worden geborgd voor vraagstukken
rondom cloudinfrastructuur en -diensten. Ter sprake kwam de afhankelijkheid van grote
niet-Europese aanbieders van clouddiensten, en dat het van essentieel belang is dat
ongewenste en risicovolle strategische afhankelijkheden van een of enkele aanbieders
worden beperkt.2 De aanwezigen constateerden dat het marktfalen en de afhankelijkheidsproblematiek
op het terrein van cloud hoger op de politieke agenda dienen te komen. Daartoe is
het belangrijk dat beleidsinzet voor het stimuleren van een concurrerend Europees
cloudaanbod wordt geïntensiveerd. Het is cruciaal om daarbij samenwerking tussen de
overheid en het bedrijfsleven te zoeken, zodat voldoende investeringen worden gedaan
en vooruit wordt gekeken. Dit betekent dat ook de vraagarticulatie van cloudinfrastructuur
en -diensten volwassener dient te worden. Aanwezigen benadrukten ook dat de (Rijks)overheid
hier een rol in kan spelen. De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
heeft in dit verband aangegeven dat het kabinet momenteel het Rijksbrede cloudbeleid
evalueert.

Quickscan

De resultaten van dit gesprek zijn meegenomen in de opdracht voor de quickscan. De
quickscan wordt door KPMG uitgevoerd. De resultaten hiervan worden na de zomer verwacht
en zullen worden gedeeld met de Tweede Kamer.

Het doel van de quickscan is om zicht te krijgen op specifieke technische functionaliteiten
en relevante organisatorische en juridische aspecten van respectievelijk Nederlands
en Europees aanbod van clouddiensten, in vergelijking met het aanbod van de dominante
niet-Europese marktpartijen. Oftewel een beeld schetsen van de verschillen («de gap»)
tussen het aanbod van de lokale (Europese) partijen en de marktleiders. De bevindingen
van de quickscan helpen ook om meer inzicht te verkrijgen in de verschillen qua aanbod,
op basis van de door afnemers gestelde eisen.

De opdrachtnemer zal de inzichten uit bovenstaand onderzoeksdoel toepassen op de casus
van het domeinregistratiesysteem van SIDN en de strategische criteria en specifieke
criteria op functionaliteit en beveiliging die daarvoor gesteld worden in het Eraneos
rapport3 voor SIDN. Het doel is om daarmee een beter beeld te krijgen of er een vergelijkbaar
Nederlands of Europees alternatief beschikbaar is dat kan voldoen aan de eisen van
partijen als SIDN voor haar domeinregistratiesysteem. De uitkomst van deze casus kan
waardevol zijn voor andere vragende partijen die hoge eisen stellen aan de continuïteit
en cyberveiligheid van de clouddienstverlening. Tot slot dient het onderzoek aanbevelingen
te geven voor oplossingsrichtingen aan zowel de vraag- als aanbodzijde van de markt
om de gevonden lacunes te ondervangen.

DPIA, DTIA en exitstrategie

SIDN heeft een externe partij, Considerati, ingeschakeld om een Data Protection Impact
Assessment (DPIA) uit te voeren voor de migratie van het domeinregistratiesysteem.
Daarnaast wordt een Data Transfer Impact Assessment (DTIA) uitgevoerd. De verwachting
is dat de DPIA en DTIA na de zomer zijn afgerond. Daarnaast is SIDN bezig een exitstrategie
op te stellen die zal toezien op zowel het snel kunnen verhuizen in het geval van
problemen of calamiteiten, als het kunnen migreren naar een Europese of Nederlandse
cloudprovider indien deze mogelijkheid zich aandient. Deze zal in lijn zijn met het
Implementatiekader Risicoafweging Cloudgebruik Rijksoverheid.4

Analyses

SIDN is aangewezen door EZK als aanbieder van een essentiële dienst binnen onze digitale
infrastructuur en valt daarmee binnen de reikwijdte van vitale infrastructuur. De
Rijksinspectie Digitale Infrastructuur (RDI) houdt toezicht op SIDN op basis van de
Wet beveiliging netwerk- en informatiesystemen (Wbni). Sinds de beantwoording van
de Kamervragen is er meerdere keren contact geweest met SIDN. SIDN heeft aangegeven
het belang te zien van toezicht en zal de RDI actief informeren en betrekken bij de
verschillende voorziene fasen in het voorgenomen migratietraject om de veiligheid,
integriteit en continuïteit voor het .nl domein te garanderen. De toezichthouder zal
blijvend meekijken op de beheersing van risico’s van het huidige en het toekomstige
systeem en die van de exitstrategie.

Ten behoeve van verdere beleids- en besluitvorming in deze casus is, in aanvulling
op bovenstaande acties, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) verzocht
een risicoanalyse uit te voeren. De AIVD voert deze analyse uit op basis van zijn
wettelijke taak tot veiligheidsbevordering (Wet op de Inlichtingen- en Veiligheidsdiensten
2017, artikel 8).

Convenant

Mede in het kader van het convenant5 is met SIDN de afgelopen maanden veelvuldig contact geweest om opvolging te geven
aan de acties. Kort na het verschijnen van de antwoorden op de Kamervragen heeft SIDN
zelf een nadere toelichting gegeven op hun voorgenomen besluit en de internet sector
inzicht gegeven in technische eisen die zij stellen aan het domeinregistratiesysteem
en bijbehorende platform.

Tot slot benadruk ik graag dat de verhuizing van het domeinregistratiesysteem nog
geen voldongen feit is. Er is afgesproken dat SIDN gedurende de looptijd van de hierboven
genoemde acties en lopende onderzoeken geen onomkeerbare stappen zal zetten. Ik verwacht
dat de genoemde acties na de zomer zijn afgerond en dat daarmee een helder inzicht
wordt verkregen welke vervolgstappen gezet moeten worden. Besluitvorming daarover
is aan het volgende kabinet.

Mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties

De Minister van Economische Zaken en Klimaat,
M.A.M. Adriaansens